アラートタイプ | アラート名 | 説明 |
Persistence | 不審な自己起動アイテム | 脅威検出モデルでは、サーバー上の一部のセルフスタートアップ項目が疑わしいことが検出されました。 アイテムは、永続性を実現するためにマルウェアまたは攻撃者によって追加された可能性があります。 |
疑わしいバックドア | 脅威検出モデルは、サーバー上のWMIまたはbitsadminバックドアを検出しました。 このようなバックドアは、サーバーが侵害された後、攻撃者によってシステム権限を維持するために残された可能性があります。 |
メモリ内の異常なコード | 脅威検出モデルは、サーバー上のプロセスのメモリ内の悪意のある命令を検出しました。 プロセスは、攻撃者によって残されたマルウェア、または悪意のあるコードが注入されたプロセスである可能性があります。 |
異常なプロセス | 脅威検出モデルは、サーバー上の実行中のプログラムに異常なプロセスが存在することを検出しました。 プロセスは、悪意のあるプロセスまたは悪意のあるコードをロードしたプロセスであり得る。 |
異常なレジストリ構成 | 脅威検出モデルにより、サーバー上の疑わしいレジストリ構成が検出されました。 ほとんどの場合、いくつかのキーレジストリ構成は、永続性を達成したり妨害行為を行うためにマルウェアによって変更される可能性があります。 |
異常な自己起動アイテム | 脅威検出モデルは、サーバー上の異常な自己起動アイテムを検出しました。 自己起動アイテムは、永続性を達成するためにマルウェアまたは攻撃者によって追加された可能性があります。 |
コバルトストライクRAT | 脅威検出モデルは、サーバー上のプロセスのメモリ内のCobalt Strike RATの悪意のあるコードを検出しました。 プロセスは、悪意のあるプロセスまたは悪意のあるコードが注入されたプロセスであり得る。 |
悪意のあるスクリプト | 悪意のあるスクリプトコードの実行 | 脅威検出モデルは、Bash、PowerShell、Pythonなどの悪意のあるスクリプトコードがサーバーで実行されたことを検出しました。 |
不正なスクリプトファイルの検出 | 脅威検出モデルは、サーバー上の悪意のあるスクリプトファイルを検出しました。 ファイルは、サーバーに侵入した攻撃者によって挿入される可能性があります。 悪意のあるスクリプトのタグに基づいて、ファイルの内容が正当であるかどうかを確認します。 次に、ファイルを処理します。 |
マルウェア | 悪意のあるプログラム | 脅威検出モデルにより、サーバー上で悪意のあるプログラムが実行されていることが検出されました。 悪意のあるプログラムとは、さまざまな悪意のある動作特性を持つプログラム、または中断や損傷を引き起こすサードパーティのプログラムです。 |
悪意のあるIPアドレスへのアクセス | 脅威検出モデルにより、サーバー上のプロセスが悪意のあるIPアドレスに接続しようとしていることが検出されました。 このIPアドレスは、C&CサーバーのIPアドレス、またはリスクの高い攻撃者によって悪用されたマイニングプールのIPアドレスです。 プロセスは、攻撃者によって挿入された悪意のあるファイルである可能性があります。 |
感染性ウイルス | 脅威検出モデルは、感染性ウイルスがサーバー上で実行されていることを検出しました。 感染性ウイルスは、高度な悪意のあるプログラムの一種です。 ウイルス自体が悪意のあるコードを通常のプログラムファイルに書き込み、実行します。 そのため、多数の正常なプログラムが感染し、ウイルスホストとして検出されることが多い。 |
攻撃ツール | 脅威検出モデルがサーバー上の攻撃者ツールを検出しました。 攻撃者ツールは、侵入プロセス中に特権をエスカレートして機密データを盗むために攻撃者によって悪用されるツール、セキュリティソフトウェアのアンインストールに使用されるプログラム、または攻撃者がサーバーに侵入した後にシステムに挿入されるバックドアプログラムです。 |
Backdoorプログラム | 脅威検出モデルにより、サーバーでバックドアプログラムが実行されていることが検出されました。 バックドアプログラムは、システムに挿入され、攻撃者がサーバーに継続的に侵入するために悪用される永続的なプログラムです。 |
疑わしいプログラム | 脅威検出モデルにより、サーバー上で疑わしいプログラムが実行されていることが検出されました。 ほとんどの場合、疑わしいプログラムは、悪意のあるコードの特徴を有するか、または非常に疑わしいプログラムの特徴を有し、分類される必要がある。 コードまたはプログラムの詳細に基づいて、疑わしいプログラムを特定する必要があります。 |
ランサムウェア | 脅威検出モデルにより、サーバー上でランサムウェアが実行されていることが検出されました。 Ransomwareは、サーバー上のすべての重要なデータファイルを暗号化してロックし、身代金を得る悪意のあるプログラムです。 |
エクスプロイト | 脅威検出モデルにより、サーバーでエクスプロイトが実行されていることが検出されました。 エクスプロイトは、オペレーティングシステムとアプリケーションの既知の脆弱性を利用して、特権をエスカレートし、エスケープを実装し、任意のコードを実行します。 |
トロイの木馬 | 脅威検出モデルがサーバー上でトロイの木馬を検出しました。 トロイの木馬は、サーバーに侵入するために使用される特別なプログラムです。 トロイの木馬が偽装してシステムに挿入された後、トロイの木馬は悪意のあるプログラムをダウンロードしてリリースします。 |
ワーム | 脅威検出モデルにより、サーバー上でワームが実行されていることが検出されました。 ワームは、侵入先のサーバーから別のサーバーに拡散するために自分自身を複製するプログラムの一種です。 ワームは脆弱性を悪用し、ブルートフォース攻撃を開始する可能性があります。 |
マイニングプログラム | 脅威検出モデルにより、サーバーでマイニングプログラムが実行されていることが検出されました。 マイニングプログラムは、サーバーのコンピューティングリソースを消費し、暗号通貨をマイニングするプログラムの一種です。 このタイプのプログラムは非常に高いCPU使用率を引き起こし、悪意のあるプログラムをもたらします。 |
自己変異型トロイの木馬 | 脅威検出モデルは、自己変異型トロイの木馬がサーバー上で実行されていることを検出しました。 自己変化型トロイの木馬は、ファイルハッシュを変更するか、多数のパスに自分自身を複製し、バックグラウンドで実行します。 このようにして、システムによる洗浄が回避される。 |
DDoSトロイの木馬 | 脅威検出モデルは、DDoSトロイの木馬がサーバーで実行されていることを検出しました。 DDoSトロイの木馬は、特定のサーバーに対してDDoS攻撃を開始するために、侵害されたサーバーから指示を受け取るために使用される悪意のあるプログラムです。 |
Hashdumpの実行 | 脅威検出モデルは、Windows Credentials Editor (WCE) やminikaziなどのマルウェアがサーバー上で実行されていることを検出しました。 このようなマルウェアは、システムアカウントのハッシュ値を盗み、パスワード漏洩を引き起こす可能性があります。 |
疑わしいプロセス | Windowsでの疑わしいスケジュールタスクの作成 | 脅威検出モデルは、不審なスケジュールタスクがサーバー上に作成されたことを検出しました。 潜在的な原因は、マルウェアまたは攻撃者が侵入プロセス中にアクセス許可を維持するタスクを作成したことです。 |
リスクツールの呼び出し | 脅威検出モデルは、サーバー上のリスクツールの不審な呼び出しを検出しました。 リスクツールは、攻撃者がサーバーに侵入するために悪用するプロキシ、トンネル、またはスキャンツールとして使用できます。 |
WMICを使用して実行される疑わしいプロセス | 脅威検出モデルにより、サーバーがWMICを使用してプログラムを作成および実行しようとしていることが検出されました。 潜在的な原因は、サーバーが侵害された後、攻撃者がシステム権限を維持するためのWMICタスクを作成したことです。 |
悪意のあるダウンロードソースへの接続 | 脅威検出モデルにより、サーバーが悪意のあるダウンロードソースに接続しようとしていることが検出されました。 潜在的な原因は、攻撃者が弱いパスワードやコマンド実行の脆弱性を悪用して、リモートサーバーから悪意のあるファイルをダウンロードしたことです。 |
リスクの高いアプリケーションによって実行される疑わしいコマンド | 脅威検出モデルは、サーバー上の高リスクアプリケーションが疑わしいコマンドを実行したことを検出しました。 リスクの高いアプリケーションには、webサービス、データベースサービス、スクリプト、スケジュールされたタスク、またはセルフスタートアップ項目があります。 これらのアプリケーションが侵害され、攻撃者が悪意のあるコマンドを実行するために使用した可能性があります。 |
リスクの高いアプリケーションでの疑わしいファイルの作成 | 脅威検出モデルは、webアプリケーションなどの機密サービスがサーバー上に実行可能ファイルまたはスクリプトを作成したことを検出しました。 潜在的な原因は、攻撃者が脆弱性を悪用してウイルスやトロイの木馬をサーバーに注入したことです。 |
疑わしいスクリプト操作 | 脅威検出モデルでは、サーバーで実行されているスクリプトに関連する一部のコマンドが非常に疑わしいことが検出されました。 検出された脅威は、マルウェアまたは攻撃者によって引き起こされる可能性があります。 |
疑わしいプロセスパス | 脅威検出モデルでは、通常のソフトウェアがインストールされていない異常なパスからサーバー上のプロセスが開始されたことが検出されました。 このプロセスは、ウイルス、トロイの木馬、または攻撃者がサーバーに侵入したときに持ち込まれるツールである可能性があります。 |
疑わしいファイル名のプロセス | 脅威検出モデルでは、サーバー上のプロセスのファイルに疑わしいファイル名拡張子があるか、ファイル名がシステムファイルの名前を模倣していることが検出されました。 このプロセスは、ウイルス、トロイの木馬、または攻撃者がサーバーに侵入したときに持ち込まれるツールである可能性があります。 |
疑わしいポートリスニング | 脅威検出モデルがサーバーで疑わしいポートリスニングを検出しました。 攻撃者がサーバーに侵入した後、攻撃者はポートリスニングにncなどのソフトウェアを使用します。 このようにして、攻撃者はサーバーから情報を盗むための隠し通信チャネルを確立します。 |
疑わしいコマンド | 脅威検出モデルは、サーバー上の情報収集コマンドが疑わしいか、実行中のプロセス間の呼び出しが疑わしいことを検出しました。 これは、トロイの木馬、ウイルス、または攻撃者に関連している可能性があります。 |
疑わしいファイルの実行 | 脅威検出モデルは、サーバー上のファイルが書き込まれ、疑わしい方法で実行されたことを検出しました。 ファイルは、外部ソースからダウンロードされ、攻撃者によって実行される悪意のあるツールである可能性があります。 |
レジストリ設定の不審な変更 | 脅威検出モデルにより、プロセスがサーバー上のレジストリ構成を変更しようとしていることが検出されました。 潜在的な原因は、攻撃者がサーバーにバックドアコードを書き込んだか、攻撃者がシステム権限を取得した後に機密設定を変更したことです。 |
疑わしいコマンドシーケンス | 脅威検出モデルは、サーバー上のプロセスが一連の疑わしいコマンドを実行したことを検出しました。 これらのコマンドは、サーバーが侵害された後に攻撃者によって通常実行される一連のコマンドに似ています。 疑わしいコマンドの親プロセスを確認することを推奨します。 親プロセスは、リモート制御トロイの木馬、脆弱なwebサービス、または悪意のあるコードが挿入されたプロセスである可能性があります。 |
データダンプのProcDump | 脅威検出モデルにより、ProcDumpプロセスがプロセスメモリに格納されている機密データをサーバー上のディスクに保存していることが検出されました。 この保存操作は、機密データ侵害を引き起こす可能性があります。 |
BITSAdminを使用した不審なプロセスの起動 | 脅威検出モデルでは、BITSAdminツールを使用してサーバーで疑わしいプロセスを開始していることが検出されました。 潜在的な原因は、攻撃者がBITSAdminツールを使用して悪意のあるプログラムをサーバーに埋め込み、悪意のあるコマンドを実行したことです。 |
Windowsシステムファイルを使用した悪意のあるコードの読み込み | 脅威検出モデルにより、サーバーで悪意のあるコマンドが実行されていることが検出されました。 潜在的な原因は、攻撃者がWindowsシステムファイルを使用して悪意のあるコードを実行し、セキュリティソフトウェアの検出を回避したことです。 |
自己起動アイテムの不審な変更 | 脅威検出モデルは、プロセスがサーバー上のセルフスタートアップ項目を変更しようとしていることを検出しました。 変更は、システム許可を維持するために攻撃者またはトロイの木馬によって実行され得る。 |
attribut.exeを使用したファイルの読み取り専用属性と非表示属性の変更 | 脅威検出モデルでは、プロセスがattribut.exeを使用してサーバー上のファイルの読み取り専用属性と非表示属性を変更しようとしていることが検出されました。 |
システムレジストリでの自己起動アイテムの追加 | 脅威検出モデルにより、プログラムがサーバー上のレジストリに自己起動項目を追加していることが検出されました。 プログラムは、マルウェア、バックドアが注入されたプロモーションソフトウェア、またはサーバーが侵害された後に攻撃者によって挿入された永続的なタスクである可能性があります。 プログラムはまた、自己起動を達成するために通常のソフトウェアによって使用された可能性があります。 プログラムが信頼できるプログラムであるかどうかを確認することを推奨します。 |
FTPを使用したリモートサーバーからディスクへの不審なファイルダウンロード | 脅威検出モデルでは、サーバー上のFTPを使用して、プロセスがリモートサーバーから疑わしいファイルをダウンロードしようとしていることが検出されました。 |
RDPを使用したディスクへの疑わしいファイルコピー | 脅威検出モデルは、攻撃者がRDPを使用して疑わしいファイルをサーバーにコピーしようとしていることを検出しました。 潜在的な原因は、攻撃者がサーバーへのログオンに使用されているRDPパスワードを盗んだ、または解読したことです。 |
システムバックアップファイルの異常削除 | 脅威検出モデルにより、プロセスがサーバーからシステムバックアップファイルを削除しようとしていることが検出されました。 潜在的な原因は、ランサムウェアがシステムのバックアップファイルを削除して、ファイルの復元を防ぎ、身代金を強要することです。 |
システムログの異常削除 | 脅威検出モデルは、プロセスがシステムログを削除しようとしていることを検出しました。 潜在的な原因は、マルウェアや攻撃者が検出を回避するためにシステムログを削除したことです。 |
疑わしい攻撃者ツール | 脅威検出モデルでは、サーバーで実行されている一部のコマンドが、攻撃者が通常使用するツールと非常によく似ていることが検出されました。 コマンドは、侵入プロセス中に攻撃者によって実行され得る。 |
Windowsでの不審な特権のエスカレーション | 脅威検出モデルでは、サーバーで実行されている一部のコマンドが非常に疑わしいことが検出されました。 潜在的な原因は、攻撃者がWindowsシステムの脆弱性またはアプリケーションの脆弱性を悪用して特権をエスカレートしたことです。 |
異常なレジストリ操作 | 脅威検出モデルでは、Windowsレジストリの管理に使用された一部のコマンドが非常に疑わしいことが検出されました。 潜在的な原因は、サーバーが侵害された後、マルウェアまたは攻撃者がいくつかのレジストリ構成を変更したことです。 |
データベースエクスポートツールの不審な呼び出し | 脅威検出モデルでは、サーバー上のプロセスの動作履歴を分析し、データベースエクスポートツールの疑わしい呼び出しを検出しました。 潜在的な原因は、サーバーが侵害された後に攻撃者がサーバーからデータを盗んだことです。 |
システムツールの不審な呼び出し | 脅威検出モデルでは、サーバー上のプロセスがシステムツールを疑わしい方法で呼び出していることが検出されました。 潜在的な原因は、トロイの木馬や攻撃者がツールを呼び出して、悪意のあるファイルのダウンロード、悪意のあるコードの実行、暗号化、復号化などの悪意のある操作を実行し、一般的なセキュリティソフトウェアの検出を回避することです。 |
システムセキュリティ構成の不審な変更 | 脅威検出モデルにより、サーバー上のプロセスがシステムのセキュリティ構成を変更していることが検出されました。 潜在的な原因は、マルウェアまたは攻撃者が検出を回避するためにファイアウォールとウイルス対策ソフトウェアの構成を変更したことです。 |
悪意のあるコマンドの実行 | 脅威検出モデルは、サーバー上のプロセスのコマンドラインデータが非常に疑わしいことを検出しました。 これは、トロイの木馬、ウイルス、または攻撃者に関連している可能性があります。 |
Cobalt Strikeが実行する悪意のあるコマンド | 脅威検出モデルは、Cobalt Strikeエージェントがサーバーにインストールされ、Cobalt Strikeエージェントが悪意のあるコマンドを実行していることを検出しました。 |
FTPアプリケーションによって実行される疑わしいコマンド | 脅威検出モデルにより、サーバー上のFTPアプリケーションが疑わしいコマンドを実行したことが検出されました。 潜在的な原因は、攻撃者がFTPアプリケーションの弱いパスワードを悪用し、FTPを使用してバッチファイルを実行したことです。 |
Javaアプリケーションで実行される疑わしいコマンド | 脅威検出モデルでは、サーバー上のJavaプロセスが、悪意のあるプログラムのダウンロードやバックドアの追加などのリスクの高い操作を実行したことが検出されました。 潜在的な原因は、脆弱なwebフレームワークまたはミドルウェアを使用したことです。 |
LSASSが実行する疑わしいプロセス | 脅威検出モデルにより、lsass.exeプロセスがサーバーで疑わしいコマンドを実行したことが検出されました。 lsass.exeプロセスは、Windowsオペレーティングシステムのセキュリティ认证プロセスです。 プロセスは、ユーザを認証し、トークンを生成する。 攻撃者がターゲットプロセスの完全な制御権限を取得できるように、攻撃者は複数のシステム脆弱性を悪用してこのプロセスに対するバッファオーバーフロー攻撃を開始します。 |
MySQLによって実行される疑わしいコマンド | 脅威検出モデルにより、サーバー上のMySQLサービスが疑わしいコマンドを実行したことが検出されました。 潜在的な原因には、MySQLサービスのパスワードの弱さと、SQL文が挿入されたwebサービスが含まれます。 |
PostgreSQLアプリケーションで実行される疑わしいコマンド | 脅威検出モデルは、サーバー上のPostgreSQLアプリケーションが疑わしいコマンドを実行したことを検出しました。 潜在的な原因には、PostgreSQLサービスのパスワードの弱さや、悪意のあるSQL文が挿入されたwebサービスなどがあります。 |
Pythonアプリケーションによる疑わしいコマンドの実行 | 脅威検出モデルは、サーバー上のPythonアプリケーションが疑わしいコマンドを実行したことを検出しました。 潜在的な原因は、サーバー上のPythonベースのwebアプリケーションにRCEの脆弱性があり、侵害されていることです。 |
regsvr32によって実行される疑わしいコマンド | regsvr32.exeがサーバーで疑わしいコマンドを実行していることを脅威検出モデルが検出しました。 潜在的な原因は、攻撃者が検出を回避するためにWindows OCXファイルに悪意のあるコードを注入し、regsvr32.exeを使用してサーバーのメモリ内のコードを実行したことです。 |
rundll32によって実行される疑わしいコマンド | 脅威検出モデルは、rundll32.exeがサーバーで疑わしいコマンドを実行していることを検出しました。 潜在的な原因は、攻撃者が検出を回避するためにWindows DLLファイルに悪意のあるコードを注入し、rundll32.exeを使用してサーバーのメモリ内のコードを実行したことです。 |
SQL Serverによるディスクへの不審なファイル書き込み | 脅威検出モデルにより、サーバー上のSQL Serverアプリケーションが不審なファイルをディスクに書き込もうとしていることが検出されました。 潜在的な原因は、攻撃者がRedisアプリケーションの弱いパスワードを解読して、SQL Serverアプリケーションで悪意のあるSQL文を実行したことです。 |
SQL Serverアプリケーションで実行される疑わしいコマンド | 脅威検出モデルにより、サーバー上のSQL Serverアプリケーションが疑わしいコマンドを実行したことが検出されました。 潜在的な原因は、攻撃者がSQL Serverアプリケーションの弱いパスワードを解読し、SQL Serverアプリケーションのコマンド実行コンポーネントを使用して悪意のあるコマンドを実行したことです。 |
Tomcatが実行する疑わしいコマンド | 脅威検出モデルは、サーバー上のTomcatコンテナーが疑わしいコマンドを実行したことを検出しました。 潜在的な原因は、攻撃者がTomcatコンテナのJavaアプリケーションのWebshellまたはRCEの脆弱性を悪用して悪意のあるコマンドを実行したことです。 |
Windows Defender構成の変更 | 脅威検出モデルでは、サーバーがレジストリを変更してWindows Defenderの一部の機能を無効にしていることが検出されました。 変更操作は、サーバーが侵害された後に検出と防止を回避しようとした攻撃者によって実行された可能性があります。 |
ポート3389のWindows RDP設定の変更 | 脅威検出モデルにより、サーバーのRDP設定が変更されていることが検出されました。 潜在的な原因は、攻撃者がサーバーが侵害された後に権限を維持するためにRDP設定を変更したことです。 |
Windowsでのスケジュールタスクの作成 | 脅威検出モデルは、不審なスケジュールタスクがサーバー上に作成されていることを検出しました。 潜在的な原因は、攻撃者がサーバーにバックドアを挿入して、サーバーが侵害された後に権限を維持していることです。 |
Windowsでの不審なサービス起動項目の作成 | 脅威検出モデルは、上流プロセスがサーバー上に不審なサービス起動項目を作成しようとしていることを検出しました。 潜在的な原因は、攻撃者がサーバーに悪意のあるプログラムを挿入したことです。 悪意のあるプログラムが実行されている場合、権限を維持するためのサービス起動項目が作成されます。 |
Windowsでのログオン資格情報の侵害 | 脅威検出モデルでは、サーバー上の一部のプログラムがレジストリのWDigestアイテムを変更したことが検出されました。 潜在的な原因は、攻撃者がUseLogonCredentialの値を変更して、ログオン資格情報をプレーンテキストで保存できるようにしたことです。 これにより、攻撃者はサーバーのメモリからログオン資格情報を盗むことができます。 |
WindowsでのmshtaによるHTMLスクリプトの実行 | 脅威検出モデルでは、サーバー上のプロセスがmshtaを呼び出してHTMLページに埋め込まれたスクリプトを実行しようとしていることが検出されました。 これにより、攻撃者は悪意のあるプログラムをサーバーに埋め込むことができます。 |
Windowsでの疑わしいポート転送 | 脅威検出モデルは、内部ネットワークでポート転送のコマンドが実行されていることを検出しました。 潜在的な原因は、攻撃者が内部ネットワークに対して横方向移動攻撃を開始していたことです。 |
Windowsファイアウォール構成の変更 | 脅威検出モデルは、プロセスがWindowsファイアウォールの構成を変更しようとしていることを検出しました。 |
Windowsでのセルフスタートアップアイテムの追加 | 脅威検出モデルは、異常な自己起動項目がサーバーに追加されたことを検出しました。 潜在的な原因は、攻撃者が悪意のあるプログラムをセルフスタートアップアイテムに追加して、サーバーが侵害された後も権限を維持していることです。 |
Windowsアカウントでの異常な操作 | 脅威検出モデルは、Windowsアカウントがサーバーで操作を実行するために使用され、実行中のコマンドが疑わしいことを検出しました。 潜在的な原因は、マルウェアまたは攻撃者がWindowsアカウントを使用してサーバーで操作を実行したことです。 |
その他 | Security Centerエージェントの異常切断 | 脅威検出モデルにより、サーバー上のSecurity CenterエージェントのメインプロセスAliYunDunが例外的に停止し、エージェントがAlibaba Cloudから切断されたことが検出されました。 切断は、ネットワークの不安定性によって引き起こされ、短期間続く可能性があります。 もう1つの潜在的な原因は、サーバーが侵害された後にSecurity Centerエージェントがサーバーからアンインストールされたことです。 この場合、サーバーにログインし、Security Centerエージェントが実行されているかどうかを確認する必要があります。 エージェントが起動していない場合は, エージェントを起動してください。 |
ウェブシェル | Webshellファイル | 脅威検出モデルは、サーバー上の疑わしいWebシェルファイルを検出しました。 ウェブシェルファイルは、攻撃者がウェブサイトに侵入した後にアクセス許可を維持するために挿入され、攻撃者によって使用されるバックドアファイルであり得る。 |
珍しいログオン | 悪意のあるIPアドレスを使用したログイン | 脅威検出モデルは、悪意のあるIPアドレスがサーバーへのログオンに使用されたことを検出しました。 IPアドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、ECSインスタンスへのログインに使用するパスワードを直ちに変更することを推奨します。 |
悪意のあるIPアドレスを使用したFTPログオン | 脅威検出モデルは、悪意のあるIPアドレスがサーバー上のFTPアプリケーションへのログオンに使用されたことを検出しました。 IPアドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、FTPアプリケーションへのログインに使用するパスワードをすぐに変更することをお勧めします。 |
悪意のあるIPアドレスを使用したMySQLログオン | 脅威検出モデルにより、サーバー上のMySQLアプリケーションへのログインに悪意のあるIPアドレスが使用されたことが検出されました。 IPアドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、MySQLアプリケーションへのログインに使用するパスワードをすぐに変更することをお勧めします。 |
悪意のあるIPアドレスを使用したSQL Serverログオン | 脅威検出モデルにより、サーバー上のSQL Serverアプリケーションへのログインに悪意のあるIPアドレスが使用されたことが検出されました。 IPアドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、SQL Serverアプリケーションへのログインに使用するパスワードを直ちに変更することをお勧めします。 |
バックドアアカウントを使用したサーバーログイン | 脅威検出モデルでは、攻撃者がサーバーにバックドアアカウントを挿入し、そのバックドアアカウントを使用してサーバーにログオンしたことが検出されました。 この操作を実行しなかった場合は、すぐにバックドアアカウントを削除することを推奨します。 |
パスワードが弱いアカウントを使用したサーバーログイン | 脅威検出モデルでは、パスワードが弱いアカウントを使用してサーバーにログインしたことが検出されました。 このログオンは、自分自身または攻撃者によって実行され得る。 ほとんどの場合、攻撃者は弱いパスワードを解読してサーバーに侵入します。 強力なパスワードをすぐに設定することを推奨します。 |
疑わしい外部ログオンスキャン | 脅威検出モデルでは、SSH、RDP、SMBなどのプロトコルに対してサーバーが頻繁にブルートフォース攻撃を開始したことが検出されました。 潜在的な原因は、サーバーが攻撃され、攻撃者が他のサーバーを攻撃するために使用したことです。 |
珍しい場所からのログオン | 脅威検出モデルでは、サーバーが短時間で互いに離れた2つの場所からログオンしたことが検出されました。 場所の1つは、通常のログオン場所です。 異なる場所からのログオンは、ログオン要求の1つが通常の場所ではなく異常な場所から開始されることを示す。 この操作を実行しなかった場合は、サーバーへのログインに使用するパスワードをすぐに変更することをお勧めします。 |
珍しいアカウントを使用したログオン | 脅威検出モデルにより、管理者グループに異常なアカウントが追加され、そのアカウントがサーバーへのログオンに使用されたことが検出されました。 この操作を実行しなかった場合は、すぐにアカウントを削除することをお勧めします。 |
複数の無効なユーザーによるブルートフォース攻撃によりECSインスタンスが侵害されました | 脅威検出モデルでは、複数の無効なユーザーが同じIPアドレスを使用してサーバーにログオンしたことが検出されました。 この操作を実行しなかった場合は、ECSインスタンスへのログインに使用するパスワードを直ちに変更することを推奨します。 |
SSHでのブルートフォース攻撃によりECSインスタンスが侵害されました | 脅威検出モデルでは、サーバーがSSHでブルートフォース攻撃を受けていることが検出されました。 攻撃者はSSHサービスパスワードを解読し、数回試行した後にサーバーにログオンしました。 |
疑わしいコマンドシーケンス実行前のSSH経由のECSインスタンスログイン | 脅威検出モデルでは、IPアドレスを使用してサーバーにログインした後に、サーバーで悪意のあるコマンドが実行されたことが検出されました。 潜在的な原因は、サーバーへのログオンに使用されたパスワードが弱いか、漏洩していることです。 |
異常な時間範囲内でのECSインスタンスへのログイン | サーバーがログオンしている時刻が、指定したログオン時刻の範囲内ではありません。 ログインが有効かどうかを確認することを推奨します。 |
珍しいアカウントを使用したECSインスタンスへのログイン | サーバーへのログオンに使用されるアカウントが、正当なアカウントの条件と一致しません。 ログインが有効かどうかを確認することを推奨します。 |
異常なIPアドレスを使用したECSインスタンスへのログイン | サーバーへのログオンに使用されるIPアドレスは、指定したIPアドレス内にありません。 ログインが有効かどうかを確認することを推奨します。 |
異常な場所からECSインスタンスにログインする | サーバーがログオンしている場所は、指定したログオン場所内にありません。 ログインが有効かどうかを確認することを推奨します。 |
異常なネットワーク接続 | ポート転送 | 脅威検出モデルにより、サーバー上のプロセスがポート転送用のトンネルを設定しようとしていることが検出されました。 潜在的な原因は、攻撃者が侵入先のサーバーを使用して、同じ内部ネットワークにデプロイされている他のサーバーを攻撃したことです。 |
悪意のあるドメイン名へのアクセス | 脅威検出モデルはDNSトラフィックを分析し、サーバーがリスクの高いドメイン名を解決したことを検出しました。 ドメイン名は、リモコンのドメイン名、ボットネット組織のドメイン名、またはマイニングプールアドレスなどの悪意のあるドメイン名である可能性があります。 この場合、攻撃者がサーバーに侵入し、サーバーを悪用した可能性があります。 |
Meterpreterを使用した逆シェル接続 | 脅威検出モデルがサーバー上の疑わしいプロセスを検出しました。 プロセスは、攻撃者のサーバーがMeterpreterを使用してサーバー上でより多くの操作を実行するためのリバースシェル接続を確立しようとしていました。 詳細については、「複数のディメンションからの逆シェルの検出」をご参照ください。 |
鉱山プールとのコミュニケーション | 脅威検出モデルでは、サーバーがマイニングプールのIPアドレスと通信していることが検出されました。 潜在的な原因は、サーバーが攻撃者によって侵入され、マイニングに使用されていることです。 |
内部ネットワークスキャン | 脅威検出モデルでは、サーバー上のプロセスが複数の内部IPアドレスの指定されたポートに対して短時間でスキャンを開始したことが検出されました。 潜在的な原因は、攻撃者がサーバーが侵害された後に横方向移動攻撃を開始しようとしたことです。 |
疑わしい機密ポートスキャン | 脅威検出モデルでは、サーバー上のプロセスが短時間で機密ポートに多数のネットワークリクエストを送信したことが検出されました。 挙動は、ポートスキャン挙動であってもよい。 |
異常なトラフィック | 脅威検出モデルは、サーバー上のトラフィックを分析し、異常なトラフィックを検出しました。 異常なトラフィックは、エクスプロイト、マルウェア通信、機密データ侵害、疑わしいプロキシやトンネルによって引き起こされる可能性があります。 アラートの詳細に基づいてトラフィックを処理することを推奨します。 |
悪意のあるダウンロードソースへの積極的な接続 | 脅威検出モデルでは、サーバーがHTTPを使用して悪意のあるダウンロードソースに接続しようとしていることが検出されました。 潜在的な原因は、攻撃者が弱いパスワードやコマンド実行の脆弱性を悪用して、リモートサーバーから悪意のあるファイルをダウンロードしたことです。 |
Windowsの異常なネットワーク接続 | 脅威検出モデルは、サーバー上のプロセスの接続が異常であることを検出しました。 これは、トロイの木馬、ウイルス、または攻撃者に関連している可能性があります。 |
疑わしいアカウント | 不審なアカウントを使用したシステムログイン | 脅威検出モデルでは、ユーザーが不正アカウント、システム組み込みアカウント、または攻撃者アカウントを使用してシステムにログオンしようとしていることが検出されました。 ログオンは、攻撃者によって実行され得る。 |
アイコンをクリックすると、モデルが表示されます。 このモデルは、ネットワーク攻撃の10段階で、クラウド資産の脅威をエンドツーエンドで検出するために使用されます。 ステージには、攻撃ポータル、ロードデリバリー、特権エスカレーション、およびエスケープ検出が含まれます。